Jump to content

Zertifizierungsstelle - DC Dekomission


Recommended Posts

Hallo,

 

auf einem Domain-Controller ist die Zertifizierungsstelle installiert. Dieser DC soll nun aber heruntergestuft und abgeschaltet werden.

Ich kann mir nicht erklären, wofür diese Zertifizierungsstelle im Unternehmen benötigt wird und gehe davon erstmal von einer Testinstallation vom Vorgänger aus.

 

Im Bereich "Ausgestellte Zertifikate" sehe ich allerdings Zertifikat vom Typ Domänencontroller, wo ich mir nun unsicher bin, ob ich diese CA direkt entfernen darf oder nicht auch auf

einen anderen DC/Server migrieren sollte?

 

grafik.thumb.png.4259f247f1d8be27cb4a84db7189decb.png

Link to post

Moin,

 

wenn die DC-Zertifikate die einzigen sind, die dort ausgestellt wurden, kannst du die CA im Prinzip einfach löschen. Domänencontroller besorgen sich automatisch Zertifikate von einer Enterprise CA, sobald sie diese im AD finden. In dem Fall solltest du natürlich die betreffenden Zertifikate von den DCs löschen, bevor du die CA entfernst, denn sonst werden die DCs Fehler melden, weil sie die Gültigkeit der Zertifikate nicht überprüfen können.

 

Im Hinblick auf diverse Sicherheitseinstellungen im eigenen Netzwerk, insbesondere für DCs, könnte es allerdings sinnvoll sein, auch künftig eine PKI zu betreiben. Es gibt ja möglicherweise auch interne Web-Applikationen, die per TLS abzusichern wären (und seien es nur Adminzugänge). Dann allerdings rate ich dazu, eine PKI nach Best Practice zu entwerfen und aufzubauen, bevor die alte entfernt wird. Eine Migration der alten CA sehe ich als unnötig an, wenn sie wirklich nur die oben genannten Zertifikate ausgestellt hat. Zum Entfernen der Alt-PKI beachte, dass diese auch aus dem AD gelöscht werden sollte, Anleitungen dazu findest du im Web.

 

Vorsichtshalber sei noch mal ausdrücklich erwähnt, dass man eine CA nicht auf einem DC installiert. 

 

Gruß, Nils

PS. wie viele DCs habt ihr denn, dass da laufend neue Zertifikate ausgestellt werden?

 

Edited by NilsK
Link to post

Hallo Nils,

 

danke für die ausführliche Antwort. Ich habe noch einmal geschaut, welcher Arten von Zertifikaten ausgestellt sind. Dabei handelt es sich zum Großteil um die Domänencontrollerzertifikate und außerdem um Zertifikate vom Typ Basis-EFS, Codesignatur (aber alt).

Wenn ich die CA aber lösche, existiert ja keine weitere CA im Netzwerk, also auch keine Enterprise CA. Oder wo kommen die dann genau her?

Link to post

Abgesehen davon bedeutet das aber auch, dass ab dem Zeitpunkt der Deinstallation der CA dann auch kein LDAPS mehr möglich sein wird (spätestens nach Ablauf der derzeitigen Zertifikate). Und ich seh da auch Basis EFS Zertifikate. ;)

vor 1 Minute schrieb Garant:

Oder wo kommen die dann genau her?

Wer? Ohne CA keine Zertifikate.

Link to post

Moin,

 

wenn du nur den CA-Server löschst oder abschaltest, bleiben die Einträge dazu im AD erhalten. Daher der Verweis auf die Anleitungen. Eine Enterprise CA ist in der AD-Konfiguration eingetragen.

 

Edit: Natürlich ist vor dem Löschen zu prüfen, ob die ausgestellten Zertifikate tatsächlich nicht mehr gebraucht werden. Siehe Norberts Hinweis und das, was ich dazu schrob. "Zum Großteil" finde ich da eine etwas unvollständige Einschätzung. Bevor du auf der Basis Schaden anrichtest, hol dir lieber jemanden, der das mit dir migriert bzw. ein Vorgehen zur Ablösung entwirft.

 

Gruß, Nils

 

Edited by NilsK
Link to post
vor 8 Minuten schrieb NilsK:

PS. wie viele DCs habt ihr denn, dass da laufend neue Zertifikate ausgestellt werden?

 

 

11 Stück

vor 2 Minuten schrieb NorbertFe:

Abgesehen davon bedeutet das aber auch, dass ab dem Zeitpunkt der Deinstallation der CA dann auch kein LDAPS mehr möglich sein wird (spätestens nach Ablauf der derzeitigen Zertifikate). Und ich seh da auch Basis EFS Zertifikate. ;)

 

Die EFS-Zertifikate habe ich auch gesehen. Nutzen aber kein Encryption File System.

Link to post
vor 12 Minuten schrieb Garant:

Nutzen aber kein Encryption File System.

Dann dürften auch keine Zertifikate da sein. Der Antragsteller (steht ja im Zertifikat) hat aber mal EFS angehakt. Du kannst also nicht ausschließen, dass es EFS verschlüsselte Datenbestände gibt. ;) Also nicht so absolut verneinen.

Link to post
Gerade eben schrieb NorbertFe:

Dann dürften auch keine Zertifikate da sein. Der Antragsteller (steht ja im Zertifikat) hat aber mal EFS angehakt. Du kannst also nicht ausschließen, dass es EFS verschlüsselte Datenbestände gibt. ;) Also nicht so absolut verneinen.

Der Antragssteller bei den Basis-EFS-Zertifikaten bin unter anderem ich und zwei Benutzer, wo ich es mir noch weniger vorstellen kann. Kann dies evtl. auch durch Drittherstellersoftware kommen?

Link to post
vor 1 Minute schrieb Garant:

wo ich es mir noch weniger vorstellen kann. Kann dies evtl. auch durch Drittherstellersoftware kommen?

Nein. Und warum ist das so schwer vorstellbar? Es reicht den Haken "Datei verschlüsseln" zu setzen. Das kann fast jeder Nutzer. Abgesehen davon war das nur ein Hinweis, dass man ggf. drauf achten sollte, denn einen Zweck haben die meisten Zertifikate. Auch wenn er sich vielen nicht erschließen mag. :)

Edited by NorbertFe
Link to post
Gerade eben schrieb Garant:

Kann ich irgendwo nachvollziehen, wo eine Datei damit versehen wurde?

Eher nein. :) Mittels cipher kann man durchgehen, aber da müßtest du dann schon jeden PC (an dem diese Nutzer mal gesessen haben) und ggf. auch die Fileserver durchflöhen.

https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/cipher

Link to post

Moin,

 

nicht ohne Weiteres, nein. Das müsstest du dir auf den Rechnern ansehen, an denen die drei User arbeiten. Wenn ihr EFS nicht nutzt, solltet ihr es ausdrücklich abschalten, sonst erzeugt ihr damit Probleme.

 

Ad hoc würde es aber auch ausreichen, dass die drei User, um die es geht, ihre EFS-Zertifikate vorsichtshalber exportieren (mit Private Key). Damit wäre es im Notfall möglich, Dateien wieder zu entschlüsseln.

 

Gruß, Nils

 

Link to post
Gerade eben schrieb NorbertFe:

Eher nein. :) Mittels cipher kann man durchgehen, aber da müßtest du dann schon jeden PC (an dem diese Nutzer mal gesessen haben) und ggf. auch die Fileserver durchflöhen.

https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/cipher

Hmmm. Ok. :)
Das Ablaufdatum ist allerdings nur bei meinem pers. Konto erst im nächsten Jahr, die anderen Basis-EFS Zertifikate sind schon abgelaufen. Von daher würde ich hier eher sagen, dass das auch vernachlässigt werden kann?

Gesehen hab ich übrigens noch zwei Webserver-Zertifikate für Exchange. Für den IIS wurden da mal welche generiert.

Link to post

Moin,

 

okay - dann hast du jetzt hoffentlich gelernt, dass man bei so einem System genauer hinsehen sollte. Deine bisherigen Aussagen zur Nutzung waren dann ja nicht ganz korrekt.

 

Ich empfehle daher, dass du dir jemanden ins Haus holst, der sich mit der Thematik auskennt, und mit dem ein Vorgehen entwickelst. Das ist kein Hexenwerk, erfordert aber mehr Detailarbeit, als es in einem Forum sinnvoll ist. (Gerechnet in wenigen Tagen, nur damit du eine Größenordnung hast.)

 

Gruß, Nils

PS. 11 DCs? Wie groß ist denn die Umgebung? Falls sie wirklich so groß ist, dass ihr 11 DCs braucht, dann ziehe ich meine Ersteinschätzung ausdrücklich zurück und rate entschieden dazu, dass ihr euch Know-how ins Haus holt.

 

Edited by NilsK
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...